Anonymisierten Daten enthalten Informationen, die nicht oder nur mit immensem Zeit-, Kosten- und Arbeitsaufwand einer bestimmten Person zugeordnet werden können. Es genügt nicht das Löschen von Namen und Adresse, wenn andere Merkmale eine eindeutige Zuordnung der Daten zu einer bestimmten Person gewährleisten (Pseudonymisierung).

Übernimmt ein außenstehender Dienstleister die Verarbeitung personenbezogener Daten, bezeichnet man dies als Auftrags(daten)Verarbeitung. Für Personendaten, die im Rahmen einer solchen Geschäftsbeziehung weitergegeben werden, bleibt der Auftraggeber voll verantwortlich.

Das Auskunftsrecht der betroffenen Person steht Art. 15 DSGVO. Im groben entspricht dieses der Regelung des § 34 BDSG. Die betroffene Person hat nach Art. 15 DSGVO ein Recht zu erfahren, ob ein für die Verarbeitung Verantwortlicher sie betreffende personenbezogene Daten verarbeitet. Soweit dies der Fall ist, hat die betroffene Person weiter ein Recht auf Auskunft über die Umstände der Datenverarbeitung.

Wie schon in § 34 BDSG erstreckt sich das Auskunftsrecht auf die jeweiligen Daten, die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die verarbeitet werden und die Empfänger, an die die Daten weitergegeben werden oder worden sind.
Darüber hinaus erweitert Art. 15 DSGVO den Anspruchsumfang auf die geplante Dauer der Speicherung, die Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden und das Vorliegen einer automatisierten Entscheidungsfindung einschließlich Profiling. Zusätzlich umfasst das Auskunftsrecht auch einen Anspruch auf Informationen über das Bestehen eines Rechts auf Berichtigung oder Löschung der personenbezogenen Daten und einen Anspruch auf Informationen über das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.

sind alle für die verantwortliche Stelle tätigen Personen, die mit personenbezogenen Daten umgehen, hierzu zählen z.B.: Vollzeit, Teilzeit, Aushilfen, Ehrenamtliche, Freelancer, Dienstleister, Praktikanten, Auszubildende, Einkauf, Personalabteilung, Kasse, etc.

erfordern immer eine Datenschutzfolgeabschätzung (DSFA) und konsequente Schutzmaßnahmen. Hierzu gehören: Daten von Kindern (bis 14 Jahre), Rassische oder ethnische Herkunft, Politische Meinungen, Religiöse o. weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Genetische oder biometrische Daten, Gesundheitsdaten, sexuelle Orientierung

Gem. Artikel 4 Abs. 1 DSGVO ist jede bestimmte oder bestimmbare natürliche Person (Mensch), zu die personenbezogenen Daten gespeichert oder genutzt werden, eine betroffene Person.

Seit ihrer Einführung im Mai 2016 und des Inkrafttretens im Mai 2018 ersetzt die DSGVO das bisherige BDSG. Die DSGVO regelt nun die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten für öffentliche Stellen und die Privatwirtschaft EU-weit einheitlich. Da die alte Fassung des BDSG nicht mehr benötigt wurde hat der Gestzgeber diese Änderungsregelungen in eine Neufassung des BDSG (neu oder nF) überführt.

"Bring Your Own Device" (BYOD) ist die Bezeichnung dafür, dass Unternehmen ihren Mitarbeitern entweder die private Nutzung dienstlicher mobile Endgeräte wie Laptops, Smartphone oder Tablets gestatten oder erlauben, dass die Beschäftigten ihre privaten Endgeräte auch zu dienstlichen Zwecken nutzen dürfen.

Es dürfen nur so viele Daten erhoben und gespeichert werden, wie für den definierten Zweck notwendig sind. Mehr nicht. Im Weiteren gehört hierzu auch ein Löschkonzept.

Nach dem BDSG ist ein Datenschutzbeauftragter zu benennen, wenn in der Regel mindestens zehn Personen (ACHTUNG ÄNDERUNG beschlossen) ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder besondere personenbezogene Daten verarbeitet werden (siehe „besondere Daten“) oder Daten welche geschäftsmäßig zum Zweck der Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. Zu diesen Zehn Personen zählen beispielsweise auch Teilzeitkräfte, Auszubildende, Aushilfen, Praktikanten, Leiharbeiter, ehrenamtliche Helfer und Angehörige, die mitarbeiten.

ACHTUNG: Auch wer keinen Datenschutzbeauftragen benennen muss hat sich um den Datenschutz zu kümmern!

Bei der Einführung oder Veränderung von Verarbeitungen personenbezogener Daten mit besonders hohem Risiko für den Betroffenen muss der Verantwortliche eine DSFA durchführen. Der Datenschutzbeauftragte unterstützt dabei.

Sollte eine Datenschutzverletzung vorfallen, ist dies innerhalb von 72 Stunden der Aufsichtsbehörde zu melden, sofern ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Soweit ein hohes Risiko besteht, ist auch die betroffene Person zu informieren. Es empfiehlt sich den Ernstfall vorzubereiten.

Es dürfen nur so viele Daten erhoben und gespeichert werden, wie für den definierten Zweck notwendig sind. Mehr nicht. Im Weiteren gehört hierzu auch ein Löschkonzept.

Datenverarbeitung innerhalb der EU ist relativ unproblematisch. Außerhalb der EU nur,
• wenn ein „Angemessenheits-Beschluss“ der EU Kommission vorliegt. Zum Beispiel USA Privacy Shield, Kanada, Schweiz.
• Wenn geeignete Garantien vorliegen (ISO Zertifizierung)
• Wenn ein Grund für eine Ausnahme vorliegt:
• Ausdrückliche Einwilligung
• Erfüllung eines Vertrages
• Geltendmachung von Rechtsansprüchen
• Lebenswichtige Interessen des Betroffenen
• Öffentliches Interesse

• Mitarbeiter müssen vertraglich zur Einhaltung des Datenschutzes verpflichtet werden
• Regelmäßige Prüfung / Verbesserung
• Ist das Verarbeitungsverzeichnis vollständig?
• Haben sich die Risiken verändert?
• Wurden die TOMs umgesetzt?
• Sind die TOMs noch angemessen?
• Die jährliche Prüfung ist zu dokumentieren

Die Datenverarbeitungsprozesse müssen in einem Verfahrensverzeichnisvdokumentiert werden. Unternehmen unter 250 Mitarbeitern müssen das nur, wenn Datenvnicht nur gelegentlich verarbeitet werden, sensible Daten verarbeitet werden oder ein Risiko für Rechte und Freiheiten besteht. In der Praxis: Jeder ist verpflichtet.

Alle Stellen außerhalb eines Unternehmens, darunter natürliche oder juristische Personen, Behörden, Einrichtungen, sind Dritte. Ausnahme bilden Betroffene, Verantwortliche, Auftragsverarbeiter und Personen, die unter der unmittelbaren Anweisung und Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

Sind Länder außerhalb der EU/des EWR (außer Argentinien, Andorra, Guernsey, Isle of Man, Jersey, Kanada, Neuseeland, Israel, Schweiz, Färöer-Inseln, Uruguay)

Eine korrekte Einwilligungserklärung muss:
• keiner bestimmten Form folgen
• dokumentierbar sein (schriftlich, elektronisch)
• freiwillig erfolgen (keine Abhängigkeiten)
• für einen bestimmten Fall erfolgen (Zweck nennen)
• in informierter Weise erfolgen (klare Sprache)

Die DSGVO ist verpflichtend, ausnahmslos für alle Firmen, die am EU Markt teilnehmen (also auch für ausländische Firmen). Sie schützt personenbezogene Daten von lebenden Personen sowie Firmendaten im Allgemeinen. Sie gilt NICHT für Daten aus der eigenen Familie und dem Freundeskreis, Daten Verstorbener oder z.B. anonymisierte Daten.

Die Verarbeitung (Speicherung, Analyse, Verwendung) von personenbezogenen Daten ist prinzipiell verboten. Die Gesetze DSGVO und BDSG regeln im Prinzip nur die Ausnahmen.

Mit dem Gesetz soll eine signifikante Verbesserung der Sicherheit Information - technischer Systeme (IT-Sicherheit) in Deutschland erreicht werden. Dies sowohl aus dem Bereich der ITSicherheit als auch aus den datenschutzrechtlichen Anforderungen (Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität). Es regelt unter anderem, dass Betreiber sogenannter KRITIS (kritischer Infrastrukturen) ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden müssen.

Daten dürfen nur für eine bestimmte Dauer gespeichert werden. Im Zweifel haben die gesetzlichen Aufbewahrungsfristen Vorrang. Nach Ablauf dieser Frist müssen die Daten gelöscht werden.

Sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann.

heißt übersetzt „Datenschutz durch datenschutzfreundliche Voreinstellungen“ und bedeutet, dass die Werkeinstellungen (insbesondere im Bereich der Software) datenschutzfreundlich auszugestalten sind.

Privacy by Design (Art. 25 DSGVO)

Eingesetzte Technologien sollten bereits mit Blick auf den Datenschutz entwickelt worden sein. Voreinstellungen sollte so gesetzt werden, dass sie dem Datenschutz gerecht werden. Übersetzt heißt Privacy by Design „Datenschutz durch Technikgestaltung“, das frühzeitige Ergreifen technischer und organisatorischer Maßnahmen (TOMs).

Anonymisierten Daten enthalten Informationen, die nicht oder nur mit immensem Zeit-, Kosten- und Arbeitsaufwand einer bestimmten Person zugeordnet werden können. Es genügt nicht das Löschen von Namen und Adresse, wenn andere Merkmale eine eindeutige Zuordnung der Daten zu einer bestimmten Person gewährleisten (Pseudonymisierung).

Finden wir in Art. 16 DSGVO. Resultiert eine Datenverarbeitung in unrichtigen personenbezogen Daten des Betroffenen, so hat dieser ein Recht auf unverzügliche Berichtigung. Dabei ist jedoch der Zweck der Verarbeitung zu berücksichtigen, sodass etwa bei Datenverarbeitungen im öffentlichen Interesse eine längere Zeitspanne bis zur Berichtigung angesetzt werden kann.

Etwas wirklich Neues ist Art. 20 DSGVO mit dem Recht auf Datenübertragbarkeit. Betroffene haben das Recht, die sie betreffenden personenbezogenen Daten, die sie einem für die Verarbeitung Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie haben das Recht, diese Daten einem anderen für die Verarbeitung Verantwortlichen ohne Behinderung durch den für die Verarbeitung Verantwortlichen, dem die Daten bereitgestellt wurden, zu übermitteln. Dieses Recht soll dann bestehen, wenn eine automatisierte Datenverarbeitung zur Durchführung eines Vertrags erfolgte oder auf einer Einwilligung basierte. Der Anspruch aus Art. 20 DSGVO beinhaltet darüber hinaus auch das Recht zu erwirken, dass die Daten direkt von einem für die Verarbeitung Verantwortlichen einem anderen für die Verarbeitung Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.

Durch die Schaffung des Rechts auf Datenübertragbarkeit soll die Kontrolle der Betroffenen über ihre personenbezogenen Daten, die automatisiert verarbeitet werden, gestärkt werden. Hauptanwendungsfall werden wohl zunächst Soziale Netzwerke sein. Der Wechsel von einer Plattform wie Facebook hin zu einem anderen Anbieter soll durch die Möglichkeit zur Mitnahme der eingestellten Daten (Fotos, Beiträge, Kontaktdaten, persönliche Angaben) erleichtert werden. Dem Lock-In-Effekt bei der Nutzung eines Sozialen Netzwerks soll entgegengewirkt werden. Ein weiterer denkbarer Anwendungsfall könnte sich etwa beim Wechsel des Stromanbieters eines Verbrauchers ergeben. Bereits heute werden bei einem Wechsel Daten zwischen den betroffenen Anbietern weitergegeben.

Welche weiteren Anwendungsbereiche das Recht auf Datenübertragbarkeit finden wird bleibt abzuwarten. Ebenso wird sich zeigen müssen, ob sich für die Verarbeitung Verantwortliche nicht hinter angeblichen technischen Hürden verschanzen werden, die einer Datenübermittlung an andere Anbieter angeblich im Wege stünden.

Gemäß Art. 18 DSGVO hat der Betroffene ein Recht auf Einschränkung der Verarbeitung, d.h. auf ein „Stopp!“ der Verarbeitung. Dieses Recht greift, wenn

• der Betroffene die Richtigkeit der Daten in Frage stellt,
• die Verarbeitung unrechtmäßig ist,
• die Daten zur Geltendmachung von Rechtsansprüchen benötigt werden, nachdem der Zweck der Datenverarbeitung sich erledigt hat oder
• der Betroffene Widerspruch nach Art. 21 DSGVO eingelegt hat.

Unternehmen trifft bezüglich der Betroffenenrechte eine doppelte Mitteilungspflicht: Zum einen müssen sie alle Empfänger personenbezogener Daten darüber informieren, dass der Betroffene von seinen Rechten Nach Art. 16-18 Gebrauch gemacht hat (es sei denn diese Mitteilung ist unmöglich oder mit unverhältnismäßigem Aufwand verbunden). Zudem müssen Unternehmen die Betroffenen über die entsprechenden Empfänger aufklären, wenn der Betroffene dies verlangt.

Das vielleicht wichtigste Betroffenenrecht im Rahmen der DSGVO stellt das Informationsrecht des Betroffenen dar. Art. 13 DSGVO regelt, dass die betroffenen Person u.a. die Kontaktdaten des Verantwortlichen der verarbeitenden Stelle, der Zweck (für jede einzelne Datenverarbeitung gesondert) und die Dauer der Datenverarbeitung sowie Auskunfts- und Widerspruchsrechte ebenso die Rechtsgrundlage der Datenverarbeitung und eine nachvollziehbare Interessenabwägung mitgeteilt werden. Allgemein muss der Betroffene über alle Betroffenenrechte informiert werden, also über das eines Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und auf Datenübertragbarkeit. Zudem muss der Betroffene darüber informiert werden, inwieweit die Entscheidungsfindung ausschließlich auf automatischer Datenverarbeitung (v.a. Profiling) beruht.

Dabei ist zu berücksichtigen, dass den betroffenen Personen die Informationen sofort bei Datenerhebung übermittelt werden, also z.B. bei Bestellung eines Newsletters oder dem Abschluss eines Kaufs im Rahmen des E-Commerce, ggf. aber auch schon vor Abschluss des Kaufvertrages, z.B. bei Registrierung. Dabei verlangt Art. 12 DSGVO, dass diese Informationen der betroffenen Person in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorgelegt werden. Das heißt, dass die Informationen auch für Leser mit niedrigen Lesefähigkeiten verständlich sein müssen, u. a. indem in Datenschutzhinweisen auf mehrdeutige Formulierungen, Fremdwörter und komplizierte Satzkonstruktionen verzichtet und näher an der Alltagssprache formuliert wird. Die DSGVO lässt eine mündliche, schriftliche oder auch elektronische Übermittlung der Informationen genügen. Besonders gegenüber Kindern ist nicht nur auf die bereits erwähnte Pflicht zur Verwendung einer einfachen, sondern zusätzlich auch alters- bzw. kindgerechten Sprache zu achten. Die Informationspflicht besteht nur dann nicht, wenn der Betroffene im Falle einer Datenverarbeitung bereits über die erforderlichen Informationen verfügt. Hierfür tragen Unternehmen die Beweislast. Art. 14 DSGVO regelt entsprechende Informationspflichten für den Fall, dass die Daten nicht vom Verantwortlichen selbst sondern von Dritten (z.B. Auskunfteien bezüglich der Kreditwürdigkeit) erhoben wurden. Die Informationspflichten des Unternehmens, das sich an Auskunfteien etc. wendet, sind dabei grundsätzlich mit denen nach Artikel 13 DSGVO vergleichbar, hinzukommt jedoch die Pflicht die Quelle aus der die Informationen stammen mitzuteilen. Anders als im Rahmen des Artikel 13 müssen die Informationen nicht sofort übermittelt werden, ausreichend ist eine Frist von maximal einem Monat nach der Datenverarbeitung.

Art. 17 Abs. 1 DSGVO bezieht sich auf das Recht auf Löschung personenbezogener Daten. Es bestehen keine wesentlichen Änderungen im Vergleich zum entsprechenden § 35 Abs. 2 BDSG. Die wichtigsten Fallgruppen, in denen die Löschung von Daten verlangt werden kann, sind dieselben. Nach Art. 17 Abs. 3b DSGVO scheidet eine Löschung dabei auch weiterhin aus, wenn gesetzliche Aufbewahrungsfristen bestehen (siehe § 35 Abs. 3 Nr. 1 BDSG).

In Art. 17 Abs. 2 DSGVO ist das in der Öffentlichkeit bereits viel zitierte „Recht auf Vergessenwerden“ normiert. Was sich genau hinter dem großen Namen verbirgt ist jedoch fraglich. Hat ein für die Verarbeitung Verantwortlicher, der nach Art. 17 Abs. 1 DSGVO zur Löschung von personenbezogenen Daten verpflichtet ist, diese Daten zuvor öffentlich gemacht, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser Daten verlangt hat. Für den für die Verarbeitung Verantwortlichen bedeutet dies Aufwand dahingehend, als dass er andere Verantwortliche ermitteln und informieren muss. Unklar bleibt vorerst, ob es mit der Information allein schon getan ist, oder ob der für die Verarbeitung Verantwortliche den Löschungsanspruch gegen die anderen Stellen im Namen der betroffenen Personen durchsetzen soll. Weiterhin bleibt abzuwarten, inwieweit Unternehmen die schwammigen Formulierungen des Gesetzes ausnutzen werden, um technische Probleme als Hinderungsgrund anzuführen.

Unterm Strich stellt das „Recht auf Vergessenwerden“ somit eine Erweiterung des Anspruchsumfangs des bekannten „Rechts auf Löschung“ dar.

Die betroffene Person kann einer Verarbeitung durch den Verantwortlichen jederzeit widersprechen, wenn die Verarbeitung auf Art. 6 Abs. 1 e oder f DS-GVO (Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt, oder zur Wahrung berechtigter Interessen des Verantwortlichen) erfolgt ist. Dies gilt auch auf ein darauf gestütztes Profiling. Eine fortdauernde Verarbeitung durch den Verantwortlichen ist nicht zulässig, außer er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Im Fall der Direktwerbung findet keine Interessenabwägung statt. Ein Widerspruch führt zu einem sofortigen Verarbeitungsstopp. Bei einer Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken führt der Widerspruch ebenfalls zu einem Verarbeitungsstopp, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich (Art. 21 Abs. 6 DS-GVO).

Auf sein Widerspruchsrecht muss der Betroffene spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich sowie in einem verständlichen und von anderen Informationen getrennter Form hingewiesen werden.

• Mit Einwilligung des Betroffenen
• Zur Erfüllung eines Vertrages
• Aufgrund rechtlicher Vorschriften
• Aus lebenswichtigen Interessen
• Bei öffentlichem Interesse

• Mit Einwilligung des Betroffenen
• Aufgrund Arbeits-/Sozialrecht, Kollektivvertrag, Betriebsvereinbarung
• Aus lebenswichtigen Interessen
• Daten wurden vom Betroffenen veröffentlicht
• Zur Geltendmachung von Rechtsansprüchen
• Für Zwecke der Gesundheitsvorsorge / Arbeitsmedizin
• Bei erheblichem öffentlichem Interesse (gesundheitlich, wissenschaftlich, historisch)

Wird in Art. 6 DSGVO näher konkretisiert. Die Verarbeitung von personenbezogenen Daten ist rechtmäßig, wenn eine Rechtsgrundlage für die Datenverarbeitung vorliegt, insbesondere eine Einwilligung der betroffenen Person nach Art. 6. DSGVO oder eine Rechtsgrundlage nach Art. 6. DSGVO.

erfordern immer eine Datenschutzfolgeabschätzung (DSFA) und konsequente Schutzmaßnahmen. Hierzu gehören: Daten von Kindern (bis 14 Jahre), Rassische oder ethnische Herkunft, Politische Meinungen, Religiöse o. weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Genetische oder biometrische Daten, Gesundheitsdaten, sexuelle Orientierung

2% vom Umsatz / 10 Mio. €, in schweren Fällen 4% / 20 Mio. €

… sind alle Maßnahmen, die dem Schutz der Daten dienen, beispielsweise: Überwachungs- und Alarmanlagen, Zugangsbeschränkung, Verschlüsselung, Datensicherung

TOM sind die Maßnahmen, die ergriffen werden, um die Vertraulichkeit, Verfügbarkeit, Integrität der pbD sicherzustellen. Weiterhin umfassen diese Maßnahmen die regelmäßig Prüfung der Wirksamkeit der Maßnahmen (Belastbarkeit).

Das Telekommunikationsgesetz (TKG) gibt seit dem 1. August 1996 und mit der letzten aktualisierten Fassung vom 29. Dezember 2011 die rechtlichen Rahmenbedingungen für den Wettbewerb im Bereich der Telekommunikation vor.

Das Telemediengesetz (TMG) regelt seit dem 01. März 2007 die rechtlichen Rahmenbedingungen für Telemedien in Deutschland.

Der Grundsatz der Transparenz nach Art. 5 DSGVO soll gewährleisten, dass die betroffenen Personen im engeren Sinne ihre Betroffenenrechte und im weiteren Sinne generell ihr Recht auf informationelle Selbstbestimmung wahrnehmen können.

Es sind, in Hinsicht auf Risiko, Aufwand und Größe des Unternehmens angemessene, technische und organisatorische Maßnahmen zum Schutz der Daten zu treffen.

Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet

Als verantwortliche Stelle bezeichnete man ursprünglich die Stelle, die Daten über eine Person zu eigenen Geschäftszwecken speichert. Sie wird in der Praxis auch als "Herr der Daten" bezeichnet.

jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung

Die Verarbeitung nach Treu und Glauben gemäß Art. 5 DSGVO ist rechtlich schwer zu bewerten und lässt sich am besten im konkreten Einzelfall unter Berücksichtigung aller Umstände beurteilen. Meist geht es um die Frage, ob ein bestimmtes Verhalten als redlich bzw. anständig angesehen werden kann.

Das Verfahrensverzeichnis soll grundsätzlich die Datenverarbeitung einer verantwortlichen Stelle nach innen und außen transparent machen. Es dient der Überwachung der ordnungsgemäßen Datenverarbeitung und enthält u. A:
• Name des Verantwortlichen
• Name der Verarbeitung
• Zweck der Verarbeitung
• Kategorien der verarbeiteten Daten
• Kategorien der betroffenen Personen
• Kategorien der Empfänger
• Übermittlung an Drittländer?

Die Daten müssen gegen versehentlichen Verlust oder Beschädigung geschützt werden Datensicherung ist Pflicht Die Daten müssen vertraulich bleiben.

Von Mitarbeitern und Dienstleistern auf Einhaltung des Datenschutzes:
• Schriftliche Vereinbarungen mit Auftragsverarbeitern
• Regelmäßige Überprüfungen der Maßnahmen & Dokumentation
• Risikoanalyse
• Das Risiko einer Datenschutzverletzung muss analysiert und gewichtet werden. Sollte sich ein hohes Risiko ergeben, muss eine Datenschutzfolgeabschätzung durchgeführt werden.